доцент кафедры «Вычислительные системы и информационная безопасность» Федерального государственного бюджетного образовательного учреждения высшего образования» Донской государственный технический университет» (ДГТУ)

Студент 3 курса факультета «Энергетика и системы коммуникаций»

Федерального государственного бюджетного образовательного учреждения высшего образования «Донской государственный технический университет» (ДГТУ)

Студент 3 курса факультета «Энергетика и системы коммуникаций»

Федерального государственного бюджетного образовательного учреждения высшего образования «Донской государственный технический университет» (ДГТУ)

Об аудите событий как механизме обеспечения безопасности информационных систем

Под комплексной системой информационной безопасности (ИБ) понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, снижающих уязвимость информации, а также – препятствующих несанкционированному доступу к информации, ее разглашению или утечке.

Метод – это путь, способ достижения цели, исходящей из знания наиболее общих закономерностей. Регистрация и аудит – это методы процесса постоянного отслеживания событий, которые происходят в информационной системе (ИС). Регистрация происходит в режиме реального времени, а аудит – анализ произошедших событий

Регистрация – один из механизмов обеспечения безопасности ИС. Этот механизм основан на подотчетности системы обеспечения ИБ; он фиксирует все события, касающиеся ИБ: вход и выход субъектов доступа, запуск и завершение программ, выдача печатных документов, попытки доступа к защищаемым ресурсам, изменение полномочий субъектов доступа, изменение статуса объектов доступа и пр.

Для сертифицируемых по ИБ ИС список контролируемых событий определен рабочим документом Гостехкомиссии РФ: «Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации».

Эффективность системы ИБ принципиально повышается в случае дополнения механизма регистрации механизмом аудита.

Аудит ИБ – процесс сбора и анализа информации об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Существует множество случаев, когда целесообразно проводить аудит безопасности: при подготовке технического задания на проектирование и разработку системы защиты информации (ЗИ); после внедрения системы ИБ для оценки уровня ее эффективности; для приведения действующей системы ИБ в соответствие требованиям российского или международного законодательства; для систематизации и упорядочения существующих мер ЗИ; для расследования произошедшего инцидента, связанного с нарушением ИБ.

Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют услуги в области ИБ. Инициатором процедуры аудита может стать руководство предприятия, служба информатизации или служба ИБ. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит ИБ выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также - сложности объекта оценки.

В общем случае аудит ИБ, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ:

1)  Разработка регламента аудита. Разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента – определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершению аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию: состав рабочих групп от исполнителя и заказчика для проведения аудита; список и местоположение объектов заказчика, подлежащих аудиту; перечень информации, которая будет предоставлена исполнителю; перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные, программные, физические ресурсы и пр.); модель угроз ИБ, на основе которой проводится аудит; категории пользователей, которые рассматриваются в качестве потенциальных нарушителей; порядок и время проведения инструментального обследования ИС заказчика.

2)  Сбор исходных данных. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.

3)  Анализ полученных данных с целью оценки текущего уровня безопасности. Этот этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия.

4)  Разработка рекомендаций по повышению уровня защищенности ИС. На этом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз ИБ.

Рассмотрим подробно этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты ИС.

Таблица 1 – исходных данных, для аудита

Тип информации

исходных данных

– распорядительная документация по информационной безопасности

– информационной безопасности ИС;

– документы (приказы, инструкции) по вопросам порядка доступа и информации;

– регламенты пользователей с информационными ИС

Информация об аппаратном хостов

– перечень рабочих станций и оборудования, установленного в ИС;

– конфигурации серверов и станций;

– сведения о оборудовании

Информация об ПО

– сведения об ОС, установленных на станциях и серверах;

– о системе управления данных, установленных в ИС

о прикладном ПО

– перечень ПО общего и специального установленного в ИС;

– описание задач, решаемых с прикладного ПО

Информация о защиты, установленных в ИС

– средства защиты;

– настройки средства

– схема установки защиты

Информация о ИС

– карта локальной сети, включая распределения серверов и станций по сегментам

– типы каналов используемых в ИС;

– используемые в ИС протоколы;

– схема потоков ИС

Сбор данных. Качество безопасности во многом от полноты и точности полученной в процессе исходных данных. в нее необходимо следующее: организационно – документацию, касающуюся ИБ, о программно-аппаратном ИС, о средствах защиты, в ИС, и пр. подробный перечень данных представлен в 1.

Для исходных данных следующие методы:

1)  сотрудников заказчика, необходимой информацией. обычно проводятся с техническими специалистами, и с руководителями компании.

2)  Предоставление листов по определенной которые сотрудники заполняют самостоятельно. В случаях, когда материалы не полностью на необходимые вопросы, дополнительное интервьюирование.

3)  организационно-технической используемой заказчиком.

4)  специализированного ПО, которое получить необходимую о составе и настройках аппаратного обеспечения ИС

5)  Оценка уровня ИС. После сбора информации проводится ее с целью оценки уровня защищенности ИС. В процессе такого определяются риски ИБ, которым подвержено предприятие. Фактически представляет собой оценку того, эффективно существующие защиты способны информационным атакам.

выделяют две группы методов рисков безопасности.

группа позволяет уровень риска оценки степени определенному набору к ИБ. В источников таких могут выступать: нормативно-правовые документы касающиеся вопросов ИБ (политика регламенты, приказы, ); требования действующего законодательства – руководящие ФСТЭК (Гостехкомиссии), СТР–К, ФСБ РФ, ГОСТы и пр.; международных стандартов – 17799[4], OCTAVE, BS 7799–2 и пр.; рекомендации компаний, производителей программного и обеспечения – Microsoft, Cisco и пр.

Вторая методов оценки ИБ на определении вероятности атак, а также их ущерба. Значение вычисляется отдельно каждой атаки и в случае представляется произведение вероятности атаки a на величину ущерба от этой атаки. ущерба определяется информационного ресурса, а атаки вычисляется экспертов, проводящих аудита. Вероятность в случае рассматривается мера того, в результате проведения нарушители достигли целей и нанесли компании.

При расчете значений атаки, а также возможного ущерба статистические методы, оценки или теории принятия Статистические методы анализ уже данных о реально инцидентах, связанных с ИБ. На результатов такого строятся предположения о проведения атак и ущерба от них в ИС. Однако статистические не всегда удается из-за недостатка статистических о ранее проведенных на ресурсы ИС, аналогичной той, выступает в качестве оценки.

При аппарата экспертных анализируются результаты группы экспертов, в области ИБ, которые на основе у них опыта количественные или уровни риска.

теории принятия позволяют применять вычисления значения безопасности более алгоритмы обработки работы группы

Существуют специализированные комплексы, позволяющие процесс анализа данных и расчета рисков при безопасности.

На последнем этапе ИБ рекомендации по совершенствованию - технического обеспечения ЗИ на предприятии. Такие могут включать в различные типы направленных на минимизацию рисков.

Уменьшение риска за счет дополнительных и технических средств защиты позволяет снизить проведения атаки уменьшить возможный от нее. Так, установка межсетевых в точке подключения ИС к существенно снижает проведения успешной на общедоступные информационные ИС – такие, как Web - почтовые серверы и пр.

от риска путем архитектуры или информационных потоков ИС, позволяет исключить той или атаки. Например, отключение от Интернета ИС, в котором обрабатывается информация, позволяет внешних атак на информацию.

Изменение риска в результате мер по страхованию. В примеров изменения риска можно страхование оборудования ИС от или страхование ресурсов от возможного их конфиденциальности, целостности доступности. В настоящее ряд российских уже предлагают страхования информационных

Принятие риска, он уменьшен до того на котором уже не опасности для ИС.

рекомендации направлены не на устранение всех рисков, а лишь на их до приемлемого уровня. выборе мер повышения уровня ИС учитывается одно ограничение – стоимость этих мер не превышать стоимости информационных ресурсов, а убытков компании от нарушения конфиденциальности, или доступности

В завершение процедуры его результаты в виде отчетного который предоставляется В общем случае документ состоит из основных разделов: границ, в рамках проводился аудит описание структуры ИС методы и средства, использовались в процессе аудита; описание уязвимостей и недостатков, уровень их риска; по совершенствованию комплексной обеспечения ИБ; предложения к плану первоочередных мер, направленных на выявленных рисков.

Результатом аудита, в последнее все чаще сертификат, удостоверяющий обследуемой ИС требованиям стандарта. Необходимо что аудит ИБ не является однократной а должен проводиться на основе. Только в случае аудит приносить реальную и способствовать повышению ИБ

СПИСОК ЛИТЕРАТУРЫ

1.  Конев безопасность предприятия. - СПб: БХВ-Петербург., 2003. - 199 с.

2.  Расторгуев информационной безопасности: учебник для студентов вузов. - М.: AKADEMIA, 2009. - 187 с.

3.  Степанов безопасность и защита информации. - М.: ИНФРА-М, 2001. - 304 с.